Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/07/2018
Actualizaciones de seguridad para Jenkins
Se han publicado actualizaciones de seguridad para 7 vulnerabilidades detectadas de criticidad Alta y Media.Las vulnerabilidades identificadas podrían permitir a un atacante leer ficheros arbitrarios, cancelar trabajos e incluso llevar ataques de Cross-site scripting reflejado y almacenado.
Una de las más importantes que se ha corregido es la que podría permitir a usuarios no autenticados utilizar credenciales de acceso manipuladas, provocando que Jenkins mueva el fichero config.xml. Este fichero contiene las configuraciones básicas incluyendo las de seguridad y acceso, por lo que si Jenkins arranca sin este fichero en su ubicación común, la configuración se reestablecería por defecto otorgando permisos de administrador a usuarios anónimos.
Sistemas Afectados:- Jenkins 2.132 y anteriores.
- Jenkins LTS 2.121.2 y anteriores.
None
Solución:- Actualizar Jenkins a la versión 2.133
- Actualizar Jenkins LTS a la versión 2.121.2